Sorry, you need to enable JavaScript to visit this website.

سياسة إحضار الأجهزة الشخصية والمحمولة للمستخدمين

 

المقدمة :

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم   1-6-2 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

البنود العامة:

1- يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة والأجهزة الشخصية للعاملين (BYOD) عند ارتباطها بشبكة ـجامعة الملك سعود.

2- يجب فصل وتشفير البيانات والمعلومات الخاصة بـجامعة الملك سعود المخزنة على الأجهزة الشخصية للعاملين (BYOD).

3- يجب على جامعة الملك سعود ان تقوم بعمل الإجراءات اللازمة لتقييد استخدام الأجهزة المحمولة وربطها بشبكتها بناء على ما تتطلبه المصلحة.

4- يجب حذف البيانات والمعلومات الخاصة بجامعة الملك سعود المخزنة على الأجهزة المحمولة وأجهزة (BYOD) عند فقدان الأجهزة أو بعد انتهاء/إنهاء العلاقة الوظيفية مع جامعة الملك سعود.

5- يجب على جامعة الملك سعود تعزيز ورفع الوعي الأمني للمستخدمين فيما يتعلق بأمن الأجهزة المحمولة (BYOD).

6- يجب مراجعة تطبيق متطلبات الأمن السيبراني لحماية بيانات ومعلومات جامعة الملك سعود سنوياً.

 

متطلبات أخرى:

1-  يجب حماية البيانات والمعلومات المُخزّنة في أجهزة المستخدمين والأجهزة المحمولة والأجهزة الشخصية (BYOD) حسب تصنيفها باستخدام الضوابط الأمنية المناسبة لتقييد الوصول إلى هذه المعلومات، ومنع العاملين غير المصرّح لهم من الوصول لها أو الاطلاع عليها.

2- يجب تحديث برمجيات أجهزة المستخدمين والأجهزة المحمولة بما في ذلك أنظمة التشغيل والبرامج والتطبيقات وتزويدها بآخر التحديثات وحزم الإصلاحات وفقاً لمعيار إدارة الثغرات الأمنية المعتمد من قبل جامعة الملك سعود.

3- يجب تطبيق ضوابط التكوين والتعزيز لأجهزة المستخدم والأجهزة المحمولة وفقًا لمعايير الأمن السيبراني.

4- لا ينبغي منح الموظفين امتيازات الوصول إلى أجهزة المستخدمين والأجهزة المحمولة، ويجب منح الامتيازات وفقًا لمبدأ الحد الأدنى من الصلاحيات والامتيازات.

5- يجب حذف حسابات المستخدمين الافتراضية في أنظمة التشغيل والتطبيقات أو إعادة تسميتها.

6- يجب أن تتم مزامنة الساعة مركزيًا من مصدر دقيق وموثوق به لجميع أجهزة المستخدم والأجهزة المحمولة.

7- يجب تزويد أجهزة المستخدمين والأجهزة المحمولة برسالة نصية (Banner) لتمكين الاستخدام المصرح به.

8- يجب السماح فقط بقائمة محددة من التطبيقات (القائمة البيضاء للتطبيقات)، ومنع تسرب البيانات، وأنظمة مراقبة البيانات، وما إلى ذلك.

9- يجب تشفير وسائط التخزين الخاصة بأجهزة المستخدمين والأجهزة المحمولة الهامة والحساسة والتي لها صلاحيات متقدمة وفقاً لمعيار التشفير المعتمد في جامعة الملك سعود.

10- يجب منع استخدام وسائط التخزين الخارجية، ويجب الحصول على إذن مسبق من جامعة الملك سعود لامتلاك صلاحية استخدام وسائط التخزين الخارجية.

11- يجب عدم السماح لأجهزة المستخدمين والأجهزة المحمولة والأجهزة الشخصية (BYOD) المزوّدة ببرمجيات غير محدثة أو منتهية الصلاحية (بما في ذلك أنظمة التشغيل والبرامج والتطبيقات) بالاتصال بشبكة جامعة الملك سعود لمنع التهديدات الأمنية الناشئة عن البرمجيات منتهية الصلاحية غير المحمية بحزم التحديثات والإصلاحات.

12- يجب أن تُمنَع أجهزة المستخدمين والأجهزة المحمولة والأجهزة الشخصية (BYOD) غير المزوّدة بأحدث برمجيات الحماية من الاتصال بشبكة جامعة الملك سعود لتجنب حدوث المخاطر السيبرانية التي تؤدي إلى الوصول غير المصرّح به أو دخول البرمجيات الضارة أو تسرّب البيانات. وتتضمّن برمجيات الحماية برامج إلزامية، مثل: برامج الحماية من الفيروسات والبرامج والأنشطة المشبوهة والبرمجيات الضارة (Malware),  وجدار الحماية للمستضيف (Host-Based Firewall), وأنظمة الحماية المتقدمة لاكتشاف ومنع الاختراقات في المستضيف (Host-based Intrusion Detection/Prevention).

13- يجب ضبط إعدادات أجهزة المستخدمين والأجهزة المحمولة غير المستخدمة بحيث تعرض شاشة توقّف محمية بكلمة مرور في حال عدم استخدام الجهاز (Session Timeout) لمدة 10 دقائق.

14- يجب إدارة أجهزة المستخدم والأجهزة المحمولة مركزيًا من خلال خادم Active Directory الخاص بمجال جامعة الملك سعود أو نظام إداري مركزي.

15- يجب تكوين أجهزة المستخدمين والأجهزة المحمولة بواسطة وحدة تحكم المجال المناسبة لتطبيق السياسات المناسبة وتثبيت إعدادات البرامج الضرورية.

16- يجب تنفيذ وتطبيق سياسة المجموعة المناسبة على جامعة الملك سعود عبر جميع المستخدمين والأجهزة المحمولة لضمان امتثال جامعة الملك سعود للضوابط التنظيمية والأمنية.

17- إجراء نسخ احتياطية دورية للبيانات المخزنة على أجهزة المستخدمين والأجهزة المحمولة، وفقاً لسياسة النسخ الاحتياطي المعتمدة في الجامعة.

18- يتم حذف بيانات جامعة الملك سعود المخزنة على الأجهزة المحمولة والأجهزة الشخصية (BYOD) في الحالات التالية:

•        فقدان أو سرقة الجهاز المحمول.

•        الفصل أو إنهاء العلاقة الوظيفية بين المستخدم والجامعة.

19- يجب نشر الوعي الأمني للعاملين حول آلية استخدام الأجهزة ومسؤولياتهم تجاههم وفقا لسياسة الاستخدام المقبول المعتمدة من قبل الجامعة وإجراء جلسات توعية للمستخدمين ذوي الصلاحيات الهامة والحساسة.

20- يجب استخدام مؤشر الأداء الرئيسي KPI لضمان التحسين المستمر في حماية أجهزة المستخدمين والأجهزة المحمولة.

21- يجب مراجعة سياسة أمان جهاز المستخدم والجهاز المحمول والأجهزة الشخصية سنويًا، وتوثيق التغييرات والموافقة عليها.

 

متطلبات الأمن السيبراني لأمن الأجهزة المحمولة:

1- يجب منع الأجهزة المحمولة من الوصول إلى الأنظمة الحساسة إلا لفترة مؤقتة فقط، بعد إجراء تقييم المخاطر والحصول على الموافقات اللازمة من الإدارة العامة بالأمن السيبراني بجامعة الملك سعود (CSCC-2-5-1-1).

2- يجب أن تكون أقراص الأجهزة المحمولة التي يمكنها الوصول إلى الأنظمة الحساسة مشفرة بالكامل (Full Disk Encryption). (CSCC-2-5-1-2).

 

متطلبات الأمن السيبراني لأمن الأجهزة الشخصية (BYOD):

1- يجب إدارة الأجهزة المحمولة مركزياً باستخدام نظام إدارة الأجهزة المحمولة (Mobile Device Management” MDM”).

2- يجب فصل وتشفير البيانات والمعلومات الخاصة بجامعة الملك سعود المخزنة على الأجهزة الشخصية للعاملين(BYOD).

 

متطلبات الأمن السيبراني لأمن أجهزة المستخدمين:

1- يجب تخصيص أجهزة المستخدم للفريق الفني بصلاحيات مهمة ويجب عزلها في شبكة إدارة خاصة وعدم ربطها بأي شبكة أو خدمة أخرى.

2- إعدادات أجهزة المستخدمين المهمة والحساسة والتي تتمتع بصلاحيات متقدمة لإرسال السجلات إلى نظام تسجيل ومراقبة مركزي ولا يمكن إيقافها من قبل المستخدم.

3- يجب أن تكون أجهزة المستخدمين مؤمنة فعليًا داخل مباني جامعة الملك سعود.

 

مراقبة (BYOD):

1- لن تقوم الجامعة بمراقبة الأجهزة الشخصية بشكل روتيني. ومع ذلك، فإنه يحتفظ بالحق في ذلك:

•      منع الوصول إلى جهاز معين من الشبكات السلكية أو اللاسلكية أو كليهما.

•      منع الوصول إلى نظام معين.

•      اتخاذ كافة الخطوات اللازمة والمناسبة لاسترجاع المعلومات المملوكة للجامعة.

 

مسؤوليات أعضاء فريق العمل:

يجب على أعضاء هيئة التدريس والموظفين الذين يستخدمون أجهزتهم الشخصية في أعمال جامعة الملك سعود تحمل مسؤوليات أجهزتهم الخاصة وكيفية استخدامها. يجب عليهم:

•      التعرف على أجهزتهم الشخصية وميزاتها الأمنية حتى يتمكنوا من ضمان سلامة وأمن معلومات الجامعة.

•      تمكين ميزات الأمان ذات الصلة داخل أجهزتهم.

•      الحفاظ على أمان أجهزتهم والتأكد من تصحيح أجهزتهم وترقيتها بانتظام.

•      لا يُسمح باستخدام أجهزة الموظفين ذات نظام التشغيل القديم.

 

تاريخ آخر تحديث : مايو 28, 2024 7:50م